若干量子安全机制关键技术研究.doc

编 号：硕士学位论文题目：若干量子安全机制关键技术研究所专指研完在 院业 名导 教究成 时系：科信软件学院称：计算机应用技术师：刘天华 教授生：李明达间：2011 年 3 月沈阳师范大学研究生处制类别全日制研究生教育硕士同等学力学位论文独创性声明本人所呈交的学位论文是在导师的指导下取得的研究成果。据我所知，除文中已经注明引用的内容外，本论文不包含其他个人已经发表或撰写过的研究成果。对本文的研究做出重要贡献的个人和集体，均已在文中作了明确说明并表示了谢意。作者签名：日期：学位论文使用授权声明本人授权沈阳师范大学研究生处，将本人硕士学位论文的全部或部分内容编入有关数据库进行检索；有权保留学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，允许论文被查阅和借阅；有权可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。保密的学位论文在解密后适用本规定。作者签名：日期：若干量子安全机制关键技术研究中文摘要保密通信指的是在数据通信过程中通过加密或其他手段，隐藏信息真实内容的一种通信方式，最初是出于政治、军事领域的需要，随着其日益发展，目前已越来越多的应用于各个领域中。目前大多应用的保密通信还是基于传统密码学。随着密码学和信息安全技术的进步，传统密码学中许多已证明是安全的算法在量子密码学中都不再安全。本文从论述量子密码学的基本原理开始，详细介绍量子通信中典型量子密钥分配协议的通信原理及实现过程。量子密码学(quantum cryptography)是以经典密码学和量子力学为基础、利用量子力学中微观粒子的基本属性和原理实现的一种新型密码体制，是对基于数学理论的传统密码的延伸。其区别于传统密码学的本质在于提供了唯密文无条件安全性和监听窃听者存在与否的能力，在量子力学的原理保证下完成了真正无条件安全的保密通信。目前，研究者们对单量子态密钥分发协议的安全性研究，无论从理论还是实验方面，都已非常成熟，一些技术已从实验室走出为保密通信做出贡献。而研究者们也将研究重心转向对量子密钥分发协议的不断改进，比如如何提高量子比特利用率、密钥生成率以及可容忍错误率等。然而，量子密钥分发体制提供的是理论上唯密文的无条件安全性，在现实设备条件下，攻击依然存在。本文在前人研究成果的基础之上，首先详细研究了窃听者 eve 常用的攻击方法并分析其产生的原因、攻击的原理以及攻击过程；结合目前量子密码协议，研究上述各种攻击方法能否对各种协议造成威胁，即目前的密码协议在各种攻击方法面前的漏洞。其次，对已有协议的研究和完善，在基于纠缠态-w 态的量子密钥分配协议中的窃听检测阶段，ca、alice 和 bob 随机选取一些粒子进行窃听检测，根据 bell-ch 不等式给出窃听检测的具体方案，结果表明：该方案优于已有的一些方案，如哈代证明，能够更为灵敏的检测出 eve 的窃听。关键词：量子密码，量子通信，量子密钥分配协议，密码分析iresearch of certain number of quantum securitymechanism key technologiesabstractsecure communication is a means of communication for the purpose of hiding the realinformation content in the process of data communication by encryption or some other means. itfirst originated in the field of the political sphere and the military field , as the development ofthe secure communication, it is now playing an important role in a lot of fields. the exitingclassical secure communication systems tend to basing on classical cryptography, which mostlyin view of computational complexity in the sense of difficult issues without rigorous certification.with the advances in cryptography and information security technology, a lot of those classicalcryptographic algorithms used to be proved secure is not secure anymore.in this paper, we begin with discussing the basic principles of quantum cryptography, thenwe introduce the theory and process of some of the classic quantum key distribution protocols.quantum cryptography is a new cryptosystem based on the classical cryptography and quantummechanics, it uses the basic properties and principles of microscopic particles to transfer keyinformation and stretch classical cryptography. it provides not only unconditional security if onlythe eavesdropper has known the ciphertext but also the ability to detect eavesdrops. at present,the security of single-qubit quantum key distribution protocol has been considered thoroughlyand perfectly both in the theory and experimental study, and some of them has been usedperfectly in real life. nowadays, researchers have focusd on the improvement of the existingquantum key distribution, for example: how to improve quantum bit utilization, the rate of keyand tolerable error rate and so on.however, quantum cryptography is only secure in the theory of quantum mechanics, underrealistic device conditions, there are still some eavesdroppers.generally speaking, we call aneavesdropper eve. on the basis of the results of previous studies, in this paper, we first focusour research on eves commonly used method of attack and analysis of the reason, principle andprogress of each manner of the attacks above; emphatically,we give the conclusion that whetherthose attacks can pose a threat to the protocols combined current quantum key distributionagreements. that is, loopholes of the agreements in front of these attacks.then we research on and then perfect a quantum key distribution protocol to find a moresecure quantum key distribution protocol on the basis of entangled state w state. duringeavesdropping detection, ca、alice and bob will randomly choose some of the quantums todetect whether there is an eavesdropper. we use bell-ch inequality in the stage of eavesdroppingiidetection and it turns out to be a better scheme than some of the existing schemes, forexample:hardys proof. contrasting to pre-existing schemes, we given the concrete scheme ofeavesdropping detection which showing some better results such as sensibility, provability andother features based on bell-ch inequality.keywords: quantum cryptography, quantum communication, quantum key distribution,cryptanalysisiii目录中文摘要. iabstract .ii目第 1 章录. iv绪论. 11.1 课题研究的目的及意义 . 11.2 国内外研究现状. 21.3 主要研究内容、研究方法和具体工作 . 4第 2 章量子密码学的原理 . 62.1 量子密码的基本原理 . 62.2 量子力学基础. 72.2.1 量子力学的几个假设 . 72.2.2 量子测量 . 92.2.3 量子纠缠 . 102.2.4 测不准原理和不可克隆原理 . 122.3 量子力学的数学体系 . 142.3.1 hilbert 空间与状态空间. 142.3.2 演化规律 . 15第 3 章 量子密钥分配协议分析 . 173.1 bb84 协议. 173.2 b92 协议 . 193.3 epr 协议. 193.4 可控量子密钥分配协议 . 213.5 量子安全直接通信协议 . 21第 4 章量子密码学攻击方法研究 . 244.1 攻击产生的原因. 244.2 攻击方法研究. 244.2.1 非相干攻击 . 254.2.2 相干攻击 . 264.2.3 pns 攻击和克隆攻击. 264.2.4 特洛伊木马攻击 . 28iv4.3 本章小结. 29第 5 章基于 w 态的网络量子密钥分配方案的改进 . 305.1 理论依据. 305.2 基于 w 态的网络量子密钥分配方案的改进 . 315.3 本章小结. 32总结与展望. 34参考文献. 36致谢. 39个人简历及在学期间的研究成果和发表的学术论文 . 40v若干量子安全机制关键技术研究第 1 章绪论1.1 课题研究的目的及意义量子密码学(quantum cryptography)是以经典密码学和量子力学为基础、利用量子力学中微观粒子的基本属性和原理实现的一种新型密码体制，是对基于数学理论的传统密码的延伸，提供了唯密文无条件安全性和监听窃听者存在与否的能力。截止目前，研究的量子密码协议主要包括量子密钥分配(quantum key distribution)协议、量子秘密共享(quantumsecrete sharing)协议、量子数字签名 (quantum signature)协议、量子身份认证 (quantumidentity authentication)协议以及量子安全直接通信(quantum safe direct communication)协议等。传统的密码技术，无论其体制是非对称密码还是对称密码的，普遍存有以下不足： 1）传统密码机制一般都是对于某个np难的数学问题，如大数质因子分解、离散对数问题等，这种密码机制的安全性是受限于当前的计算能力的；（2）在经典密码体制中，想要说明密钥在传输的过程有没有被窃取或更改，缺乏足够的证明。故经典密码体制中的密钥分发一般比较困难，。无论是传统密码还是量子密码，其技术的核心问题始终是系统的有效性和安全性，而体制的安全性又完全依赖于密钥，因此密码系统中密钥的传输和管理是至关重要的。近些年研究者们提出量子计算机的概念并且最终实现，由于其具有强大的并行计算能力，使得传统的一些密码体制受到了严重的威胁。以rsa体制为例，公开密钥密码的选择基于一个简单的数论事实：两个大的素数乘积很容易计算，而其逆运算却很困难。研究者们普遍认为，只要选择1024位的密钥，在当前的计算能力下，因其破解时间是1025年，为宇宙年龄，可以认为是无法攻破的。然而，著名的量子方法(shor算法)表明，量子计算机的运算时间按多项式增长，对于1000位的密码只需运算几百万次，即分钟量级就可以轻易攻破。所谓量子密码体制，正是将密码体制中引入量子力学规律，而不是基于某个数学难题，开拓了一个新的领域。理想的量子密码系统是唯密文无条件安全的。我们说量子密钥分配是安全的，并不是说窃听者无法进入到量子信道进行窃听，其安全性体现在：通信方alice和bob在通信信道上对传输的光子出错率分析，根据量子力学的基本原理可以发现是否存在窃听。另外，其无条件安全性和可检测性是由量子力学中的“量子态不可克隆定理”以及“海森堡测不准原理”来保证的，通信方基于概率统计理论做随机抽样统计分析的过程中，量子力学这两大基本原理保证窃听者得不到量子比特状态的完备信息，由“量子不可克隆定理”知道窃听者会在窃听过程中无可避免的留下痕迹，一旦发现有人监听量子信道，那么通信方立刻抛弃他们已得到的结果，重新开始下一次的密钥分配。然而在实际的量子密码系统中，由于量子密码协议本身或者通信双方的设备还不尽完善，攻击者eve便有了可乘之机。目前的量子密码领域的研究的问题，首先是量子密码术-1-（若干量子安全机制关键技术研究本身具有很多技术性问题，其高昂造价使得普遍的应用于各种网络安全防范十分艰难。例如：量子信道的噪声的存在和处理，理想的单光子光源难以真正实现，目前探测器效率不高等问题。其次，目前成熟的量子加密、解密的算法还处在反复的研究和实验之中，尚不能大规模应用于实际。量子比特与经典电信号不一样，虽然传输过程通过光子实现使得电磁窃听成为不可能，但是在量子态传输的过程中不能使用中继器来增大传送距离，因为这样会使得量子态的相关性遭到破坏，所以实验中远距离的密钥传输还较难操作。以上提出都会使攻击成为可能，所以在实际应用中，研究量子密码系统的攻击原理和方法，从而加以利用和防范，是推进量子密码学进一步研究和应用的重要步骤。1.2 国内外研究现状量子信息学是近些年来发展起来的新兴学科，它将量子力学与信息科学交叉融合，具体说来，是将量子力学的基本原理和属性应用于信息科学的研究中。由于信息科学存在计算、通信以及密码学三个主要领域，量子信息学也可对应分为相应的量子计算、量子通信和量子密码学这三个重要分支3。不同于传统密码学，量子密钥学本质上是利用物理方法实现的密码系统，它的信息载体是量子比特（包括单个光子、粒子以及纠缠态的粒子），信息通过量子信道传送。由于量子密码学是针对量子计算机而设计，因此，量子密码中无计算安全的概念，其安全性和窃听可检测性是由量子力学原理中的 “不可克隆定理”及“海森堡测不准原理”来保证的。目前为止，研究较多的相关协议主要包括量子密钥分配(quantum key distribution)协议、量子秘密共享(quantum secrete sharing)协议、量子数字签名(quantum signature)协议、量子身份认证(quantum identity authentication)协议以及量子安全直接通信(quantum safe directcommunication)协议。近年来由于量子密钥分配协议（qkd）研究的越来越多，部分技术也越来越成熟，得到了更多的发展和研究，目前qkd协议已有部分走向实用。量子密钥分配指的是在量子信道上对密钥信息的建立、发送以及传输过程，也是合法的通信方对密钥管理和分发的过程。已有的研究包括以下几个方面5-8：（1）协议方面1969年，美国哥伦比亚大学的swiesne首次提出了利用微观粒子的物理属性携带保密信息的概念，并建设性的提出了共轭编码，令人非常遗憾的是，该论文的前瞻性思想并没有被当时的学术界所认可和接受。接着，ibm的charles bennett和蒙特利尔大学的gillesbrassard于1984年联合提出了第一个qkd协议，该协议利用基于四个正交量子态传输密钥信息，成为当代三大量子密钥分配协议之首，称为bb84协议。接下来，密钥协议方面的思路被不断打开和更新，英国牛津大学ekert于1991年在bb84协议的基础上做了改进，提出一种基于epr（einstein- podolsky-rosen）双量子纠缠态的密钥协议，称为e91协议；次年，-2-若干量子安全机制关键技术研究bennett又对e91协议做了改进，他提出了一种基于两个非正交量子态的协议-b92协议，协议建议使用单光子通过光纤远距离传输来实现。b92协议的提出，宣告着量子密码分配的的三大主流协议形成。1994年，shor等提出了运用量子并行计算的方法分解大数质因子，此算法一经提出，立刻引起学术界的高度重视，因为它严重动摇了公钥密码的rsa体制，将量子密码学的研究推向热潮。shor提出的量子算法，为今后的发展奠定了理论基础。已经提出的qkd协议有很多种，这些协议有的利用单量子态传输密钥，有的则利用纠缠态粒子来传递密钥信息，已有的协议有三态协议、ll02协议等9。1999年，hillery等人首次提出了量子秘密共享的概念，同时利用多粒子的纠缠态实现了量子秘密共享，称之为hbb99协议。beige等于2001年第一次明确提出了确定的安全通信，bostrum等于次年就提出了一个安全直接通信的协议，该协议运用量子纠缠态传输信息，使得信息的接收者bob在测量alice发送的光子后，能够马上识别出alice的编码信息。该协议被称为ping-pong协议。量子身份认证协议也是量子密码中的一个重要分支，于近年来迅速得到发展，目前协议被公认的分为可分共享信息型和共享纠缠型两类。对于量子签名，研究者们普遍认为可以依据仲裁参与的情况对现有量子签名协议进行分门别类，目前主要分为直接签名和仲裁签名11。2008年，yu等将量子密钥分配和量子秘密共享结合起来，基于此提出了安全高效的高维度量子秘密共享方案；基于前人的研究，chi等人在理论层面上分析了量子秘密共享的充要条件。2009年，inoue等提出了正交差分相位编码(differential-quadrature -phase-shift，dqps)的量子密钥分配方案；于是在2010年，garciapatron等在前人的基础上提出了连续变量量子密钥分配方案，并且是在噪声信道的传输中。（2）实验验证方面密码学中的首个实验，在1989年由ibm公司和加拿大montreal大学合作成功的完成，这个结果是很振奋人心的。实验内容是：在相距30厘米的通信两端，完成量子比特随机序列的传输和认证。随着技术的发展，到1993年，英国国防研究部已将量子通信信道转移至10公里的光纤中，并且成功的实现了bb84协议中量子密钥信息传输和分配，宣告实验验证方面的又一个新的突破。该实验很快就得到改进，增长到23公里，而误码率仅为3.4%。到1999年，美国los alamos 国家实验室已将上述记录拓展到48公里，并利用b92协议成功的进行了量子密钥分发过程。2002年，日本三菱公司用防盗量子密码技术传送信息获得成功，其传递距离高达87公里，这一距离为量子密码技术的实用化提供了可能，并且它的传输速度也接近于实用13-15。此外，也有一些在无线应用领域中的研究，无线领域中的研究略晚于实验室中的演示。世界上第一个量子密码通信网络已于2004年正式投入运行，至2007年由多个国家的科研人员联合将通信距离提高到144公里。次年lo等人通过实验发现，低效探测器使得通信中对-3-若干量子安全机制关键技术研究于某些攻击导致的错误率小于理论预测值，影响了研究者对攻击类型的判断。自此，探测器应用效率和灵敏程度成为了量子密钥传输和分发中需要解决的难题和瓶颈。（3）网络中密钥分配方案研究量子密钥分配方案最早都是基于合法的两方通信，随着技术的发展、攻击的加强以及更多通信需求的出现，有了多方通信，于是研究者们提出了网络中任意通信方的密钥分配方法，现已提出的利用纠缠态粒子进行密钥传输的方法，改进了量子密钥分发方案。除此之外，量子秘密共享协议也取得了一定的进展：日本ntt的科学家 a.karlsson，m.koashi和n.imot 参照hbb方案，用bell量子态亦实现了量子秘密共享，提出了基于两个量子态的秘密共享算法5。对于量子密码通信方面的研究，国内的研究刚刚起步。由于现有的量子密码协议已有很多，有一些还受到了公开的重视，国内的研究通常以这些理论内容为基础，在理论上进一步展开了研究工作。国防科学技术大学在全国范围内最早开始了对量子密码通信方面的研究，而国内首次量子密钥分配协议演示实验的完成是在1995年，在中科院物理研究所完成了bb84方案的演示实验，并于2000年，首次成功地在1.1公里纳米单模光纤中演示量子秘密通信。其他高校如华东师范大学，也于2003年在曾和平教授的带领下成功完成50公里光纤量子秘密通信的实验样机研制工作。中国科技大学的郭光灿教授于次年完成了超过125公里的光纤信道上的量子密钥通信。接下来的几年，是相关协议和研究热烈提出的时代，至2009年，我国的量子密码通信水平已有了飞速提高，朱畅华等人与同年提出了连续变量量子密钥分发方法，并利用最大似然函数对信道设置了参数，经过一系列噪声处理和自适应调整，得到了稳定的量子密钥生成率。1.3 主要研究内容、研究方法和具体工作本文在前人研究成果的基础之上，首先详细对各种主流密钥分配协议进行了描述，讨论了这些协议的工作原理，接着详细分析协议的安全性问题。一般来说，考虑窃听者的攻击能力，eve 常用的攻击方法包括：相干攻击与非相干攻击、pns 攻击、克隆攻击以及特洛伊木马攻击。其中相干攻击包括联合攻击和集体攻击，非相干攻击包括经典的简单个体攻击：截取-重发以及对称个体攻击。基于此，本文详细研究了以上提出的各种攻击模型，综合分析每种攻击方法产生的原因、攻击的原理以及攻击过程，结合目前量子密码协议，详细研究上述各种攻击方法能否对目前量子密码协议造成威胁、造成何种威胁以及应对攻击的方法。其次，本文经过对已有基于 w 态量子密钥分配协议进行改进，利用对称系数w 态粒子的性质，给出利用基于 w 态的 bell-ch 不等式进行窃听检测的具体方案，对原协议中信息监测部分进行了完善，提高了该协议的安全性。本文的主要创新点体现在如下方面：首先描述了窃听者 eve 常用的攻击方法、攻击产生的原因、攻击的原理以及攻击过程；接着，结合目前量子主流密码协议，详细研究上述各种攻击方法能否对目前量子密码协议造成威胁、造成何种威胁以及应对攻击的方法。-4-若干量子安全机制关键技术研究其次，本文对已有的基于 w 态量子密钥分配协议进行改进，在窃听检测阶段应用bell-ch 不等式，具有更高的安全性。具体章节安排如下：第 1 章 绪论，介绍了本论文选题研究的目的和意义、量子密码的国内外研究现状和研究趋势，其次介绍本文的主要研究内容及章节安排；第 2 章 量子密码学基础，主要介绍量子物理学基础及数学理论；第 3 章 量子密钥分配协议分析，本章主要详细介绍和分析目前量子系统中，主流量子密钥分配协议的原理及其实现过程；第 4 章 量子密码学攻击方法研究，本章主要分析安全性问题，即当前主流攻击策略对量子密码系统产生的威胁及解决方式；第 5 章 本章在量子密码协议进行分析研究的基础上，完善当前量子密钥分配协议，提出对现有协议的改进方法。-5-若干量子安全机制关键技术研究第 2 章量子密码学的原理量子密码系统通过一个信号发射端，采用量子比特作为信息的载体，经由量子信道在已证明身份安全合法的用户之间传送密钥。量子密码系统在唯密文攻击下是绝对安全的，部分已有实验可以证明，其安全性是由量子力学的基本原理保证的。换句话说，即使窃听者 eve 可能拥有极高的智商、可能使用最先进的测量手段、可能拥有极强的计算能力并且采用最高明的窃听措施，但是只要是在仅知密文的情况下进行攻击，量子力学原理都可以保证其密钥的传送总是安全的，其窃听总是失败的。通常情况下，窃听者获得密钥的方法有两类17。第一类方法是：eve 截取并测量携带密钥信息的量子比特，密钥信息通过 eve 的测量结果来提取。但是根据量子力学的基本原理可知：对未知量子态的测量将引起波函数的塌缩，使得量子态从本质上发生了改变。在接下来的窃听检测过程中，alice 和 bob 通过信息校验就会发现有敌手窃听了他们的通信。正是由于这种窃听方式不可避免的留下了具有明显量子测量特征的痕迹，因此合法通信方发现后立即终止当前通信过程。另一窃听类方法采用具有复制功能的装置，以此代替窃取获得的量子比特。其具体做法是，eve 首先设法获得 alice 发送的量子比特，之后将信息复制，接下来 eve 把开始截获的量子比特传送给 bob 这个合法的接收者，将复制的量子态留下了供窃听者测量和分析以获得相关的信息。这样的做法理论上可以保证不留下窃听的痕迹。然而，强大的量子不可克隆定理告诉我们，目前无论是何种物理装置，都不可能精确的将一个未知的量子态完全复制出来，正是这个重要的量子物理效应，确保了 eve 无法通过复制来获得携带信息的量子比特。由此，这种窃听方式在理论上也是可以成功抵御的。总的来说，量子密码体制在理论上，是无法窃听、不可破译并且是大容量通信的安全通信系统。2.1 量子密码的基本原理传统密码学的基本思想是通过某个变换来实现密码的加密过程的。这个变换满足一定的条件，该变换的逆过程很难实现，或者在缺乏某个条件的情况下不能实现。量子密码学不是对传统密码学的彻底颠覆，更确切的说，可以将量子密码学理解为对传统密码学的延伸，因此量子密码实现的基本原理类似于传统的密码理论，不同的是加入量子信道来产生密钥的过程，而在协议的设计时，对密钥的控制和管理阶段，加入了以量子力学的基本属性为保证的方案。这里我们所说的量子包括光子，原子、电子等，对于量子比特状态，我们通常用 dirac 符号 表示。目前量子密码主要有三种实现方案：（1）由于海森堡测不准原理的保证，基于单光子信道的实现； 2）根据非正交量子态性质来实现加密过程的； 3）基于量子通信信道中 bell不等式原理的实现。想要在通信的两端传递量子密钥，首先要建立量子信道。最简单通用的量子密码体制-6-（ （若干量子安全机制关键技术研究是利用光子的极化方式进行编排密码的，光子有四种偏振方式，分为两组：线偏振态和圆偏振态。其中线偏振态分为水平的和垂直的，圆偏振态是与垂直呈 45角的对角线方向，光子的不同偏振状态分别代表编码 0 或 1。简单的量子密码通信的过程可以表示为如下：alice 首先随机的以等概率发送四种偏振态中的一种，呈一个光子序列，对于此光子序列的接收者 bob 来说，只需要它随机的选择线偏振态或者圆偏